Ifølge en sikkerhedsforsker, Mossab Hussein, Samsung lækkede følsomme data, såsom legitimationsoplysninger, kildekoder og hemmelige nøgler, til forskellige vigtige projekter.
Ubevidst havde virksomheden givet "offentlig" adgang til kritiske filer i dit udviklingslaboratorium på GitLab, som ikke var beskyttet med en adgangskode.
De eksponerede data indeholdt legitimationsoplysninger til Amazon-webtjenestekontoen, der blev brugt til udvikling af Samsung-tjenester. Disse afslører desuden 100 S3-opbevaringsrum, der er knyttet til den samme AWS-konto, der indeholder log- og analysedata.
GitLab-adgangstokener for medarbejdere er også en del af de følsomme data, der blev opdaget. Sikkerhedsforskeren fik adgang til forskellige offentlige og private projekter med adgangstokenerne, hvilket øgede antallet af udsatte projekter fra 43 til 135. ”Jeg havde det private token for en bruger, der havde fuld adgang til alle 135 projekter på den GitLab” siger Mossab Hussein.
De fleste af de offentligt tilgængelige filer indeholdt data relateret til Samsungs SmartThings- og Bixby-tjenester. Det kunne have været "katastrofalt", hvis en dårlig skuespiller manipulerede koden.
Samsung er vært for flere projekter hos Vandev Lab, et firma GitLab-lager til udviklingsformål. Det samme arkiv indeholder projekter som Samsungs SmartThings-platform og Bixby-tjenester.
Imidlertid Samsung har nu tilbagekaldt adgang til alle nøgler og legitimationsoplysninger på testplatformen. Virksomheden undersøger for at finde beviser for ekstern adgang efter denne begivenhed.
Efter alt dette blev opdaget, firmaet vil anvende stærkere sikkerhedsforanstaltninger i alle sine laboratorierklart såvel som i andre sektorer, der er åbne for forskellige målgrupper med den hensigt, at noget lignende ikke sker igen i fremtiden.
(Kilde)
